本申请公开了一种钓鱼邮件拦截方法及装置,涉及网络安全技术领域,主要目的在于将钓鱼邮件拦截在邮件服务器,以减少收件人接触到钓鱼邮件的几率;主要技术方案包括:确定邮件服务器的待下发邮件;分析所述待下发邮件的邮件数据,确定所述待下发邮件是否为钓鱼邮件;若确定为钓鱼邮件,则将所述待下发邮件拦截在所述邮件服务器,以阻止所述待下发邮件被下发至相应的邮件客户端
【技术实现步骤摘要】
一种钓鱼邮件拦截方法及装置
[0001]本申请涉及网络安全
,特别是涉及一种钓鱼邮件拦截方法及装置
。
技术介绍
[0002]钓鱼邮件是一种伪造邮件,其用来诱导收件人访问恶意链接或者打开恶意附件以植入木马或间谍程序,进而达到控制收件人所用终端或者盗取收件人个人隐私数据的目的
。
[0003]为了降低钓鱼邮件的危害,需要对钓鱼邮件进行管控
。
传统技术中,钓鱼邮件的管控在收件人所用终端中实现
。
具体为,在邮件被下发到终端中部署的邮件客户端后,终端中部署的钓鱼邮件管控产品对邮件进行钓鱼邮件管控
。
此种技术由于邮件到达终端后才能进行相应的钓鱼邮件的识别和管控,因此收件人接触到钓鱼邮件的几率较大
。
技术实现思路
[0004]有鉴于此,本申请提出了一种钓鱼邮件拦截方法及装置,主要目的在于将钓鱼邮件拦截在邮件服务器,以减少收件人接触到钓鱼邮件的几率
。
[0005]为了达到上述目的,本申请主要提供了如下技术方案:
[0006]第一方面,本申请提供了一种钓鱼邮件拦截方法,该钓鱼邮件拦截方法包括:
[0007]确定邮件服务器的待下发邮件;
[0008]分析所述待下发邮件的邮件数据,确定所述待下发邮件是否为钓鱼邮件;
[0009]若确定为钓鱼邮件,则将所述待下发邮件拦截在所述邮件服务器,以阻止所述待下发邮件被下发至相应的邮件客户端
。
[0010]在本申请一些实施例中,分析所述待下发邮件的邮件数据,确定所述待下发邮件是否为钓鱼邮件,包括:确定所述待下发邮件的待检测维度以及每个待检测维度在所述邮件数据中对应的值;对每个所述待检测维度对应的值执行钓鱼风险识别;基于每个所述待检测维度对应的钓鱼风险识别结果,确定所述待下发邮件是否为钓鱼邮件
。
[0011]在本申请一些实施例中,若所述待检测维度包括发件人,且对应的值为发件人邮箱地址,则对所述待检测维度对应的值执行钓鱼风险识别,包括:检测所述发件人邮箱地址是否为验证通过的邮箱地址;若为非验证通过的邮箱地址,则获得发件人存在钓鱼风险的钓鱼风险识别结果
。
[0012]在本申请一些实施例中,若所述待检测维度包括邮件内容,且对应的值为邮件内容数据,则对所述待检测维度对应的值执行钓鱼风险识别,包括:将所述邮件内容数据作为预设风险识别模型的输入,通过所述风险识别模型检测所述邮件内容数据是否包括具有诱导性的数据;若包括具有诱导性的数据,则获得邮件内容存在钓鱼风险的钓鱼风险识别结果
。
[0013]在本申请一些实施例中,若所述待检测维度包括附件,且对应的值为附件文件,则对所述待检测维度对应的值执行钓鱼风险识别,包括:将所述附件文件传递至隔离环境中;
在所述隔离环境中基于所述附件文件运行所述附件,并监测所述附件运行过程中产生的行为特征;若监测到所述附件产生的行为特征中包括异常行为特征,则聚类所监测到的异常行为特征得到钓鱼风险类别,并获得附件存在钓鱼风险的钓鱼风险识别结果
。
[0014]在本申请一些实施例中,若所述待检测维度包括超链接,且对应的值为超链接地址,则对所述待检测维度对应的值执行钓鱼风险识别,包括:将所述超链接地址传递至隔离环境中;在所述隔离环境中通过爬虫访问超链接地址,并爬取超链接内的数据;若检测到爬取得到的数据中存在恶意数据,则获得超链接存在钓鱼风险的钓鱼风险识别结果
。
[0015]在本申请一些实施例中,基于每个所述待检测维度对应的钓鱼风险识别结果,确定所述待下发邮件是否为钓鱼邮件,包括:检测是否存在至少一个钓鱼风险识别结果指示存在钓鱼风险;若存在,则确定所述待下发邮件为钓鱼邮件
。
[0016]在本申请一些实施例中,确定所述待下发邮件的待检测维度,包括:识别所述待下发邮件包括的所有维度;将识别出的所有维度均确定为待检测维度;
[0017]或,
[0018]确定所述待下发邮件的待检测维度,包括:检测所述待下发邮件是否包括预设维度;若包括,则将所述待下发邮件包括的预设维度确定为待检测维度
。
[0019]在本申请一些实施例中,该钓鱼邮件拦截方法还包括:在确定所述待下发邮件为钓鱼邮件之后,将所述待下发邮件收集至钓鱼邮件集合;若接收到针对指定维度进行钓鱼风险研判的指令,则基于指定维度,从所述钓鱼邮件集合提取目标邮件,以供钓鱼风险研判使用;其中,所述目标邮件于预设时间段内收集至所述钓鱼邮件集合,且所述目标邮件存在钓鱼风险的维度中包括所述指定维度
。
[0020]在本申请一些实施例中,确定邮件服务器的待下发邮件,包括:响应于检测到存在邮件客户端向所述邮件服务器请求拉取邮件,判断所述邮件服务器中是否存在待下发至所述邮件客户端的邮件;若存在,则将待下发至所述邮件客户端的邮件确定为所述待下发邮件;
[0021]和
/
或,
[0022]确定邮件服务器的待下发邮件,包括:检测所述邮件服务器是否接收到其他邮件服务器传输的邮件;若接收到,则将接收到的邮件确定为所述待下发邮件
。
[0023]在本申请一些实施例中,将所述待下发邮件拦截在所述邮件服务器,包括:从所述邮件服务器删除所述待下发邮件,或,将所述待下发邮件由所述邮件服务器转移至指定服务器
。
[0024]第二方面,本申请提供了一种钓鱼邮件拦截装置,该钓鱼邮件拦截装置包括:
[0025]确定模块,用于确定邮件服务器的待下发邮件;
[0026]分析模块,用于分析所述待下发邮件的邮件数据,确定所述待下发邮件是否为钓鱼邮件;
[0027]拦截模块,用于若确定为钓鱼邮件,则将所述待下发邮件拦截在所述邮件服务器,以阻止所述待下发邮件被下发至相应的邮件客户端
。
[0028]第三方面,本申请提供了一种邮件服务器,所述邮件服务器包括应用如第一方面的钓鱼邮件拦截方法的插件
。
[0029]第四方面,本申请提供了一种计算机可读存储介质,所述存储介质包括存储的程
序,其中,在所述程序运行时控制所述存储介质所在设备执行第一方面的钓鱼邮件拦截方法
。
[0030]本申请提供的钓鱼邮件拦截方法及装置,首先确定邮件服务器的待下发邮件
。
分析待下发邮件的邮件数据,确定待下发邮件是否为钓鱼邮件
。
若确定待下发邮件为钓鱼邮件,则将待下发邮件拦截在邮件服务器,以阻止待下发邮件被下发至相应的邮件客户端
。
可见,本申请实施例提供的方案在邮件服务器向邮件客户端下发邮件之前,对邮件进行了钓鱼邮件识别
。
且一旦识别出邮件为钓鱼邮件,便将邮件拦截在邮件服务器,阻止邮件被下发到邮件客户端,这样,钓鱼邮件不能到达邮件客户端,因此能够减少收件人接触到钓鱼邮件的几率
。
[0031]上述说明仅是本申请技本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种钓鱼邮件拦截方法,其特征在于,所述方法包括:确定邮件服务器的待下发邮件;分析所述待下发邮件的邮件数据,确定所述待下发邮件是否为钓鱼邮件;若确定为钓鱼邮件,则将所述待下发邮件拦截在所述邮件服务器,以阻止所述待下发邮件被下发至相应的邮件客户端
。2.
根据权利要求1所述的方法,其特征在于,分析所述待下发邮件的邮件数据,确定所述待下发邮件是否为钓鱼邮件,包括:确定所述待下发邮件的待检测维度以及每个待检测维度在所述邮件数据中对应的值;对每个所述待检测维度对应的值执行钓鱼风险识别;基于每个所述待检测维度对应的钓鱼风险识别结果,确定所述待下发邮件是否为钓鱼邮件
。3.
根据权利要求2所述的方法,其特征在于,若所述待检测维度包括发件人,且对应的值为发件人邮箱地址,则对所述待检测维度对应的值执行钓鱼风险识别,包括:检测所述发件人邮箱地址是否为验证通过的邮箱地址;若为非验证通过的邮箱地址,则获得发件人存在钓鱼风险的钓鱼风险识别结果
。4.
根据权利要求2所述的方法,其特征在于,若所述待检测维度包括邮件内容,且对应的值为邮件内容数据,则对所述待检测维度对应的值执行钓鱼风险识别,包括:将所述邮件内容数据作为预设风险识别模型的输入,通过所述风险识别模型检测所述邮件内容数据是否包括具有诱导性的数据;若包括具有诱导性的数据,则获得邮件内容存在钓鱼风险的钓鱼风险识别结果
。5.
根据权利要求2所述的方法,其特征在于,若所述待检测维度包括附件,且对应的值为附件文件,则对所述待检测维度对应的值执行钓鱼风险识别,包括:将所述附件文件传递至隔离环境中;在所述隔离环境中基于所述附件文件运行所述附件,并监测所述附件运行过程中产生的行为特征;若监测到所述附件产生的行为特征中包括异常行为特征,则聚类所监测到的异常行为特征得到钓鱼风险类别,并获得附件存在钓鱼风险的钓鱼风险识别结果
。6.
根据权利要求2所述的方法,其特征在于,若所述待检测维度包括超链接,且对应的值为超链接地址,则对所述待检测维度对应的值执行钓鱼风险识别,包括:将所述超链接地址传递至隔离环境中;在所述隔离环境中通过爬虫访问超链接地址,并爬取超链接内的数据;若检测到爬取得到的数据中存在恶意数据,则获得超链接存在钓鱼风险的钓鱼风险识别结果
。7.
根据权利要求2所述的方法,其特征在于,基于每个所述待检测维度对应的钓鱼风险识别结果,确定所述待下发邮件是否为钓鱼邮件,包括:检测是否存在至少一个钓鱼风险识别结果指示...
【专利技术属性】
技术研发人员:骆振源,
申请(专利权)人:奇安信安全技术珠海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。